【阿部ひろき】テレワークの最新セキュリティ対策とは?ホワイトハッカーが語る“攻撃者”の視点と“エシカル”
私は、1997年にホワイトハッカーとして、情報セキュリティ対策の企業を設立しました。当時は、まだ「ホワイトハッカー」という言葉自体が日本で普及していない時代でした。
ホワイトハッカーとは、企業や団体から依頼を受け、セキュリティリスクに効果的に対応するため、“攻撃者”の観点からアドバイスを行う情報セキュリティのプロフェッショナルです。
昨今、普及が進むテレワーク環境には、どのようなセキュリティリスクがあり、どう対策すべきかについて“攻撃者”の視点でお話をしたいと思います。
テレワークを取り巻くセキュリティの変化
テレワークで何が変わったのか?
新型コロナウイルス感染拡大によるテレワークの増加で、企業を襲うセキュリティのリスク自体が変化したと捉えている人が多いかもしれません。しかし、実は攻撃者の手法には違いは見られないのです。コロナ禍の前後で通信やネットワーク機器の技術自体が変化したわけでないため、その攻撃方法はこれまでの手法の組み合わせでしかなく、何も変わっていないのです。
変わったのは、テレワークをする人の絶対数です。そして自宅やカフェなどオフィス以外で働くという働く場所の変化です。この変化は、攻撃者にとっては大きなチャンスなのです。
テレワークが何故セキュリティリスクに繋がるのか?
テレワーク関連のサービスやツールを提供するベンダーも増えています。しかし全てのベンダーがユーザーのセキュリティに責任をもってサービスを提供しているとは限らないのです。
いっぽう、導入する企業も「ベンダーに勧められたから」などの単純な理由で、リスク意識が希薄なまま利用していることが多々あります。
また、従業員も公共の場所で、機密情報が含まれる内容のWeb会議をするといった働き方をしている状況があります。
テレワークの絶対数の拡大に、ベンダーも企業も従業員も「リテラシー」が追いついていない。つまり、リテラシーの欠如がテレワークの最大のセキュリティリスクであり、攻撃者にとってのチャンスなのです。
テレワークのセキュリティリスクとは?
公衆Wi-Fiのセキュリティリスク
多くの人がセキュリティのリテラシーを身につけないまま、会社以外のネットワーク環境下で働く時間が増えました。
例えば、カフェなどの公衆Wi-Fiを利用するビジネスパーソンは少なくないでしょう。攻撃者はそこを狙います。公衆Wi-Fiと同じ名前の偽のアクセスポイントを設置し、それに気付かずに接続したユーザーの通信内容を盗聴します。これが「Evil Twin」と言われる手法です。
アナログな盲点に潜むテレワークのセキュリティリスク
サイバー攻撃と聞くと、デジタルな手法での犯罪というイメージがあるかと思います。実際のハッカーはアナログとデジタルの手法を組み合わせています。攻撃には意外とアナログな手法が多いのです。
例えば、攻撃者が社員証からの情報収集する手法もその一つ。社員証を首から下げたまま公共の場で過ごすのはリスクがあります。社員証は、会社名、部署名、個人名が一気に情報収集できるため、攻撃者にとってみれば非常に効率的です。
デバイスの放置という問題もあります。公共の場でログイン状態のまま離席するのは非常に危険です。攻撃者は5秒あれば、USBなどでパソコンをマルウェアに感染させることができます。
最近では、「サイドチャネル」という物理的な手段による攻撃の機会も増えてきています。スマートフォンのロックのパターンを思い浮かべてみてください。指で画面をなぞって、ロックを解除するセキュリティです。サイドチャネル攻撃では、この画面についた指の跡のような物理的な痕跡からパターンを割り出すのです。
テレワークの環境では、時間や場所を選ばずノートパソコンやスマートフォンを当たり前に操作していますが、セキュリティリスクはこの働き方のアナログな盲点に潜んでいるのです。
最新のセキュリティリスクとは?
テレワークは攻撃者が手法を試すチャンス
攻撃者の視点からすると、テレワークの普及は、これまで試せなかった攻撃手法や価値のなかった手法をたくさん試すことができるチャンスなのです。
例えば、DHCPサーバーに対する枯渇攻撃という方法があります。「DHCPスタベーションアタック」という名前がついています。端末固有のMACアドレスを偽造して、DHCPが割り振るIPアドレスをどんどん割り振らせて枯渇させてしまうという手法です。この手法は、オフィスで働いている時代は、ただの嫌がらせ程度の効果しかありませんでした。
しかし、これを公衆Wi-Fiでやられると大変なことになります。枯渇攻撃で正規のアクセスポイントをダウンさせて、偽のアクセスポイントを立てることができてしまいます。先ほどの「Evil Twin」と組み合わせると効果的な手法です。
攻撃に気づかず時間が経過するケースも
今年5月に発生した富士通の情報共有ツール「ProjectWEB」の不正アクセスは、記憶に新しいインシデントです。管理者権限のアカウントが攻撃され、省庁や政府機関の情報が流出し大きな被害となりました。
今回被害を受けたどの団体も、不正アクセスの痕跡の発見から、被害の把握や発表に至るまでにタイムラグがありました。問題は被害団体の多くが「自分たちが攻撃されたことをニュースで初めて知った」ということです。不正アクセスは、攻撃されたこと自体に気付かないというケースがとても多いのです。報道された被害は氷山の一角に過ぎないでしょう。
72時間以内の早期対応が求められる
被害の法的証拠を押さえるデジタル的な鑑識である「フォレンジック」の観点から考えると、インシデント発生後おおよそ72時間以内が勝負と言えます。不正アクセスにすら気づかないようなケースは「フォレンジック」の観点からもリスクがあると言えます。
テレワークのセキュリティ対策のポイントとは?
セキュリティ対策はリスクを知ることから
つぎに、テレワーク環境でのセキュリティ対策のポイントを解説します。第一の対策は、なによりも「リスク自体を知ること」です。従業員の身の回りで、どのようなリスクがあるかを認識することからセキュリティ対策が始まります。
そして従業員にも、先ほどの公衆Wi-Fiのようなセキュリティリスクについて知ってもらうことです。リスクを知ってもらうことで、自分が繋ごうとしているアクセスポイントが本当に正しいかどうかを確認する癖や「自動的に接続する」のチェックボタンを入れないなどの対策の徹底につながります。
従業員に委ねるセキュリティ対策には限界がある
もし、従業員の不注意でサイバー攻撃を受けてしまった場合、企業がどのような影響を受けるかを想像してみてください。たとえ、実質的被害がない場合も、企業の社会的信頼を失ったケースは過去にも多くあります。
従業員個人に責任がない訳ではありません。しかし、従業員に依存するリスク対策には限界があります。やはり従業員のセキュリティリスクは「企業が経営レベルで危機感を持つ」ということが重要になるでしょう。
セキュリティ対策が最適な企業とは?
セキュリティ対策がしっかりしている企業とそうでない企業の違いは、セキュリティポリシーが全社に浸透しているかどうかです。そもそもセキュリティ対策とは、経営の根本に組み込むべき事項です。ところが、多くの日本企業はサイバー攻撃が盛んになった昨今の状況をみて、慌てて、後付けの対策をしているだけなのです。
セキュリティポリシーは、企業におけるセキュリティの理想を明文化させたものですが「従業員がその存在を知らない」、「どこにあるのか分からない」という状況では意味がありません。
セキュリティリスクを徹底するためのフローとしては、企業全体がセキュリティポリシーを従業員に認知させ、誓約を交わすこと。そして、ストレスなく遵守できる環境に整えることで、初めて意味のあるセキュリティポリシーとなります。
経営者がするべきセキュリティ対策とは?
続いて経営者がするべき対策です。「技術やセキュリティのことは分からない。詳しいスタッフに任せている」という経営者は少なくありません。しかし、経営者にしかできないセキュリティ対策もあるのです。それはインサイダー対策です。
サイバー攻撃のインサイダーによるインシデントは、件数では全体の2割ほどでしかないのですが、被害金額は全体の半分にも上ります。社内事情をよく知るインサイダーによる攻撃の場合、被害は甚大になります。発生件数は少ないものの、発生した場合の被害がとても大きくなるのです。
インサイダーによる攻撃の大半は「怨恨」を理由としたものです。
企業の離職率に比例して、セキュリティコストが大きくなるというデータもあります。
経営者は、この悪循環に陥らないよう従業員のQOLを第一に考えるべきでしょう。そうした従業員の目線で考えた経営そのものがセキュリティ対策となるのです。
テレワークのセキュリティ上最適なネットワーク環境は?
セキュリティを高めるためのネットワーク環境としてはまず、VPNがあります。私は、VPNは盗聴などの攻撃に対しては、セキュリティ効果が高いと考えています。
VPNのセキュリティは基本的に「認証」と「暗号化」のプロセスで成り立っていますが、現状のVPNはアプリケーションレベルで提供されるものが多いのです。つまり、ネットワークモデルの階層の一番上のアプリケーションレベルの暗号化であって、そこから下は、設定する人や使う人の使い方に委ねられている部分があります。
情報セキュリティのCIA、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の観点でいうとVPNは機密性に注力されていますが、可用性の問題があると言えます。
VPNの可用性の問題の例としては、VPNに繋ぐプロセスの不便さや帯域圧迫によるスピードの低下などから、オフィスのサーバー上にあるデータを従業員が自身の端末に落とすような使い方をしてしまう場合です。この場合セキュリティリスクが高まってしまうと言えるでしょう。
この点で比較するとリモートデスクトップの場合は遠隔からオフィスの端末を操作し画面転送するだけで、従業員がデータを端末に落とさずに使用できるため、セキュリティ上有利といえます。
テレワークのセキュリティリスク対策の心得とは?
セキュリティ対策の優先順位
企業は何をすべきなのか。それは「優先順位を間違えないこと」です。
セキュリティリスク対策は、「脆弱性」、「脅威」、「リスク」の3つの観点から考えます。
システムは人間が作ったものなので、必ず「脆弱性」が出てきます。全ての「脆弱性」に対策していくとキリがありません。
重要なのは、その「脆弱性」が外部から攻撃することが可能かどうかを判定することです。そして攻撃可能なものを「脅威」と考えます。この「脅威」の特定がホワイトハッカーの一番の出番です。
さらに「脅威」のなかで自分たちに影響があるものをセキュリティの「リスク」と捉えて初めて対策をしていきます。私の住む北海道には、雪は雪害被害を齎すので「リスク」ですが、沖縄では、雪が被害に繋がらないので「リスク」とは言えないのです。
セキュリティ対策には「エシカル」
もうひとつ重要なのは、「エシカル」の観点です。自分の行動がひとにどう影響を与えるかを考えるべきです。セキュリティ対策は、最後は「エシカル」の問題に行きつきます。
テレワークという働き方は、新しい生活様式です。企業、個人、セキュリティベンダーはその新しいスタイルのリスクに対する「リテラシー」を高めて、対策しなければなりません。優先順位を理解して「エシカル」な観点で正しく行動することが、安全なテレワークの実現につながります。
テレワークでのセキュリティ事故事例とその対策方法を徹底解説!(併せて読む)!
著者プロフィール:阿部ひろき
合同会社ビーエルケー・スミス代表執行社員。一般社団法人ITキャリア推進協会技術顧問。認定ホワイトハッカー。20年以上にわたる情報セキュリティ業界の経験と、現在も第一線の現場に立ち続けるノウハウにより、技術支援と教育を行う。著書に「Linuxサーバ・パーフェクトセキュリティ」、「入門講座UNIX」、「Linuxサーバセキュリティのポイントと対策」(いずれもソフォトバンククリエイティブ刊)、最新著書として「ホワイトハッカー入門」(インプレス刊)。省庁、自衛隊、大手企業各社などでの講師やコンサルティングの実績多数。Udemyをはじめとする様々な動画配信サイトでホワイトハッカー及びセキュリティ対策に関する動画講座を開設している。